雅加达 - 基于仲裁的贷款协议Lodestar Finance在12月10日的闪电贷款攻击中被利用。根据Lodestar的说法,攻击者在使用膨胀的代币借入平台的所有流动性之前操纵PlutusDAO plvGLP代币价格。
在Twitter帖子中,Lodestar解释了攻击的流程。攻击者首先将plvGLP合约汇率操纵为每plvGLP1.83 GLP。“利用INI本身是无利可图的”,该公司表示,正如Cointelegraph所引用的那样。
然后,攻击者向Lodestar提供plvGLP抵押品并借入所有可用的流动性,支付部分资金“直到抵押比率机制阻止plvGLP完全清算”。
如果您是黑客,请与我们联系,以便我们找到白帽协议并继续前进。收回用户的资金是重中之重,我们将慷慨奖励您的合作#Hack #whitehat #Arbitrum $LODE #Exploit #DEFI https://t.co/SWlCr3KMib
— 罗德斯达金融 (,) ( 💙 @LodestarFinance) 2022 年 12 月 10 🧡 日
黑客攻击后,“一些plvGLP持有者也抓住了这个机会,每PLVGLP兑现了1.83 glp。DeFi平台写道,黑客能够烧毁超过300万个GLP,从“Lodestar的被盗资金 - 减去他们烧毁的GLP”中获利。
攻击者获利约580万美元(905亿盾)。Lodestar表示,可以收回近280万GLP(约合240万美元),这些钱本应用于支付储户。该公司正试图与其利用者协商漏洞奖励。
导致攻击的主要漏洞位于Lodestar为找出plvGLP价格而实施的预言机中。在一项分析中,Solidity Finance的审计团队表示,该事件强调“利用抗操纵的预言机是DeFi的一个非常重要的部分,特别是在借出用户资产的协议中。
治理聚合商PlutusDAO在一份声明中指出,“其产品和平台在各个事件中完全按照预期运行。普鲁图斯的所有资金都是绝对安全的。该漏洞完全是实施Lodestar预言机的结果。
“我们希望承担起推广未经审计的协议的责任。虽然漏洞利用绝不是Plutus的错,但我们意识到我们太急于推广集成plvGLP的协议。随着 plvGLP 获得显着的牵引力,我们希望向我们的社区强调所有 plvGLP 集成,以强调集成为个人用户和协议提供的采用和机会。对此,我们深表歉意。我们立即采取行动,展望未来,我们将不再推广未经审计的协议,“Cointelegraph援引jubir PlutusDAO的话说。
Lodestar攻击类似于Mango Markets在10月11日的漏洞利用,当时超过1亿美元纵甲骨文价格数据的攻击者窃取,允许黑客获得无担保的加密货币贷款。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
